【经典】133353 ISOIEC TR 13335标准.doc

ISO/IEC TR133353信息技术IT安全管理指导第三部分：IT安全管理技术内容：1范围2参考3定义4结构5目标6IT安全管理技术7IT安全目标，策略和方针 7.1安全目标和策略 7.2企业公司IT安全方针8公司企业风险分析策略选择 8.1基准方法 8.2非正式方法 8.3详尽风险分析 8.4联合方法9联合方法 9.1高水平风险分析 9.2基准方法 9.3详尽风险分析 9.3.1复查界限的建立9.3.2资产鉴定9.3.3资产估价和资产间相关性的建立9.3.4威胁评估9.3.5脆弱性评估9.3.6现存的/计划中的安全措施的鉴定9.3.7风险评估 9.4安全措施选择9.4.1安全措施鉴定9.4.2IT安全建筑9.4.3对限制的鉴定/复查 9.5险情接受 9.6IT系统安全方针 9.7IT安全计划10IT安全计划的实现 10.1安全措施的实现 10.2安全识别10.2.1需求分析10.2.2程序传送10.2.3安全识别程序的监督 10.3安全训练 10.4IT系统的批准11后续 11.1维护 11.2安全顺性检查 11.3变化管理 11.4监督 11.5事故处理12摘要附录A 一个包含公司IT安全方针目录的例子附录B 资产的估价附录C 可能出现的威胁类型目录附录D 一般脆弱性的例子附录E 风险分析方法的类型前言ISO（国际标准化组织）和IEC（国际电子技术委员会）组成了专门负责世界范围标准的专门系统。ISO或IEC的成员通过处理各自专门领域技术活动的组织建立的技术委员会来参与国际标准的开发。其他与ISO和IEC有联系的官方和非官方组织，也参与这项工作。在信息技术领域，ISO和IEC已经建立了一个联合技术委员会，ISO/IEC JTC 1。这个技术委员会的主要任务是准备国际标准，但是在特别的环境中技术委员会会建议出版以下类型之一的技术报告：类型1，当出版一个国际标准所需的支持不能获得，尽管经过了不断努力；类型2，当这个学科仍处于发展阶段或者在因为其他原因将来可能，但目前不能就国际标准取得一致的地方；类型3，当技术委员会收集到与作为国际标准正常发表的不同的数据。（例如艺术情况）第一类和第二类的技术报告受出版后三年内的复查，这种复查决定了它们是否能成为国际标准。第三类技术报告不需要复查，直到它们所提供的数据被认为不再有效或有用。作为第三类技术报告，ISO/IEC TR 133353，由联合技术委员会ISO/IEC JTC 1准备，信息技术，子委员会SC27，IT安全技术。ISO/IEC TR 13335，在一个概括性的题目：信息，技术IT安全管理指导方针下，包括以下部分：第一部分：IT安全的概念和模型第二部分：管理和设计IT安全第三部分：IT安全管理技术第四部分：安全措施选择第五部分：外部连接的安全保护介绍ISO/IEC 13335的目的是给IT安全管理方面提供一个指导方针，而不是解决方法。组织里负责IT安全的人应该能够使ISO/IEC TR 13335的材料适应满足他们专门的需要。ISO/IEC TR 13335的主要目的是：定义和描述与IT安全管理有关的概念；鉴定IT安全管理和IT一般管理的关系；提供可用于解释IT安全的多种模型；ISO/IEC TR 13335被分为五部分，ISO/IEC TR 133351提供了对用于描述IT安全管理的基本概念和模型的概述。这个材料适合负责IT安全的经理和那些对组织的全部安全程序负责的人。ISO/IEC TR 133352描述了管理和设计方面。它与负有有关组织IT系统责任的管理人员有关，负责监督安全系统的设计，实现，测试，获取或操作的管理人员；负责充分利用IT系统的管理人员；ISO/IEC TR 13335的这部分描述了与在一个项目生命周期的管理活动有关的安全技术，例如这些活动：计划，设计，实现，测试，获得和操作。ISO/IEC TR 133354提供了安全措施选择和如何利用基准模型和控制来支持它们的指导方针。它也描述了如何对ISO/IEC TR 133353中描述的安全技术进行补充，如何在选择安全措施时利用附加的评估方法。ISO/IEC TR 133355提供指导方针给把它的IT系统连接到外部网络的组织。这些指导方针包括，为外部连接提供安全的安全措施的选择和使用，这些连接所支持的服务，以及因为连接IT系统所需的额外安全措施。信息技术IT安全管理指导方针第三部分：IT安全管理技术1范围ISO/IEC TR 13335的这部分提供了IT安全管理技术。这些技术基于ISO/IEC TR 133351和ISO/IEC TR 133352所列出的一般指导方针。这些指导方针是为帮助IT安全的实施而设计的。熟悉ISO/IEC TR 133351中介绍的概念和模型，以及ISO/IEC TR 133352中关于IT安全的管理和设计的材料，对完整的理解ISO/IEC TR 133353是重要的。2参考ISO/IEC TR 133351：1996，IT安全管理指导方针 第一部分：IT安全的概念和模型。ISO/IEC TR 133352：1997，IT安全管理指导方针第二部分：IT安全的管理和设计。3定义对于ISO/IEC TR 13335这部分，ISO/IEC TR 13335-1给出了以下定义：可核查性，资产，真实性，可用性，基准控制，保密性，数据完整性，影响，完整性，IT安全，IT安全方针，可靠性，剩余风险，风险，风险分析，风险管理，安全措施，系统完整性，威胁和脆弱性。4结构ISO/IEC TR 13335的这部分被分成12个条款。条款与提供关于ISO/IEC TR 13335这部分目标的信息。条款6对IT安全管理过程给出了个总的看法。条款7讨论了公司IT安全方针的重要性和它应包括的东西。条款8就一个组织可能使用的用于鉴定安全需要的四种方法给出了个概述。条款9详尽描述了推荐的方法。条款10继条款9之后，描述了安全措施的实现。这一条中还包括了，对安全意识程序和批准过程的详细讨论。条款11包含对很多继续追踪活动的描述，这些活动对确定安全措施的正常有效工作是必要的。最后，条款12对ISO/IEC TR 13335的这部分给了个简短的总结。5目标ISO/IEC TR 13335这部分的目标是为成功的IT安全管理描述和推荐技术。这些技术可以用来评估安全需求和风险，并且帮助建立和维护合适的安全措施，也就是适当的IT安全标准。用这种方法获得的结果可能需要实际组织和环境所指定的附加的安全措施来加强。ISO/IEC TR 13335的这部分与组织里负责IT安全管理和/或实现的每个人有关。6IT安全管理技术IT安全管理的处理基于ISO/IEC TR 133351和ISO/IEC TR 133352列出的原则。除了被选定的部分，它还可以应用适用于整个组织，图1显示了这个处理的主要阶段，和这个处理的结果是如何反馈到它的各个部分的。反馈环应在任何需要的时候建立，在一个阶段的内部，或者在一个或多个阶段完成之后。图1（下面的）是ISO/IEC TR 133352中的图1的修订，它强调了ISO/IEC TR 13335的这部分所关注的题目。IT安全管理包括安全需求分析，满足这些需求的设计的建立，设计的实现，和己实现的安全的维护和管理。这个过程开始于组织IT安全目标和策略的建立和公司IT安全方针的开发。图在最后IT安全管理过程的一个重要部分是风险评估和它们如何被降到可接受的水平。有必要考虑商业目标，组织和环境方面，和每个IT系统的特定需要和风险。对IT系统和服务的安全需求进行评估后，选择一个公司风险分析策略是明智的。主要的策略选项在下面的条款8中详细讨论。推荐选项包括对所有IT系统做高水平风险分析来鉴定那些高风险的系统。那么这些系统通过详尽风险分析来检查，然而剩下的系统要用基准方法。对于高风险系统，对资产，威胁和脆弱性的详尽考虑会导致详尽风险分析，这种分析使与评估的风险相称的有效的安全措施选择更加容易。通过使用这些选项，风险管理过程可以被集中到高风险和极需要的地方，整个程序可以变得更加有效地利用费用和时间。伴随着风险评估，为了把风险降低到可接受的水平，每个IT系统都确认了合适的安全措施。这些安全措施像在IT安全计划中简述的那样实现。这个实现应该被对安全措施的有效性很重要的识别和训练程序支持。更进一步，IT安全管理包括处理各种后续活动的现行任务，这些后继活动可以导致以前的结果和决定的变化。后续活动包括：维护，安全遵守性检查，变更管理，监督和事故处理。7IT安全目标，策略和方针建立了组织的IT安全目标之后，应开发一个IT安全策略，为公司的IT安全方针的开发构成基础。公司IT安全方针的开发对确保风险管理过程的结果是合适和有效的是必要的。为了方针的开发和有效地实现，全组织的管理支持是需要的。公司IT安全方针把公司的目标和组织的特定方面考虑在内是很必要的。它必须与公司安全方针和公司商业方针保持一致。有了这个一致性，公司安全方针会帮助获得资源的最有效的利用，并且能确保在经历各种不同的系统环境时有一致的安全措施。我们可能有必要为每个或一些IT系统开发独立的和专门的安全方针。这个方针应基于风险分析和基准结果，并且与公司的IT安全方针一致，因而考虑到与之相联系的系统的安全推荐。7.1IT安全目标和策略作为IT安全管理过程的第一步，我们应考虑“多宽的风险范围对这个组织是可能接受的？”正确的可接受风险的水平，和因而合适的安全水平，是成功安全管理的关键。需要的安全宽度水平是由组织需要面对 的IT安全目标决定的。为了评估这些安全目标，应该考虑资产和对于这个组织它们有多大价值。这主要由支持组织的商业运作的IT的重要性来决定；IT自己的费用只是它价值的一小部分。评估一个组织的商业在多大程度上依赖IT可能出现的问题为：·哪些是没有IT的支持就不能展开的商业的重要/很重要的部分。·哪些是只能在IT帮助下完成的任务。·哪些必要的决定依赖于经过IT处理的信息的准确性，完整性或可用性，或者依赖于这个信息有多新。·哪些处理的机密信息需要保护。·不希望发生的事故对组织的影响是什么。回答这些问题可以帮助评估一个组织的安全目标。例如，如果一个商业的一些重要或很重要的部分依赖于精确的或最新的信息，那么这个组织的一个安全目标可能要确保信息在系统中处理时的完整性和基准时间。而且，在评估安全目标的时候要考虑重要的安全目标和它们与安全的关系。依赖于这些安全目标，认可可实现这些目标的策略。选择的策略应该适合要保护资产的价值。例如，如果一个或更多以上问题的答案是Yes，那么这个组织很可能有高安全性需求，并且建议选择一个包括充分努力去满足这些需求的策略。一个IT安全策略用一般术语简述一个组织如何实现它的IT安全目标。这样一个策略主题确定将依赖于这些目标的数目，类型和重要性，并且理所当然地是那些组织认为在整个组织内均一地提出是很重要的题目，这些题目在本质上会很具体，或很宽。像以前的一个例子，一个组织应该有一个基本的IT安全目标，因为商业的性质，它的所有的系统都应维持一个高水平的可行性。若是这样的话，一个策略题目，把肆虐的病毒减小到最低程度，能够通过全组织范围安装杀毒软件来得到监督和指导。为了说明后者，一个组织可以在一个更宽的水平有一个IT安全目标，因为它的业务是出售服务，所以应对某潜在的顾客证明其系统的安全性。若是这样，一个策略主题就可以是所有的系统都要被获得承认的第三方来证实确实是安全的。由于具体的目标或联合的目标，关于IT安全策略的其他题目可能包括：·在全组织范围内的风险分析策略和方法。·每个系统时IT系统安全方针的需要。·每个系统对安全操作程序的需要。·全组织范围的信息敏感度分类方案。·在其他组织被连接前，连接的安全条件被满足对和检查的需要。·能被普遍应用的事故处理方案。一旦确定，在公司安全方针中，应该围绕安全策略和它的组成题目。7.2公司IT安全方针一个公司的IT安全方针应基于承认的公司IT安全目标和策略而产生。有必要建立和维护一个与公司业务，安全，IT方针，和与安全有关的法律和规则一致的公司IT安全方针。像在7.1中反映的那样，影响公司IT安全方针的一个重要事实是一个组织在多大程度上依赖于它使用的IT。IT的用处越大，一个组织就越依赖它的IT，就需要越多的安全来保证商业目标的实现。在写公司IT安全方针的时候，应记住文化的。环境的和组织的特点，因为它们会影响安全的实现，例如是一些很容易在一种环境下被接受但在另一环境中完全不被接受的安全措施。公司IT安全方针中描述的与安全相关的活动可以基于组织目标和策略，以前的安全风险分析和管理复查的结果，后续活动如己实现的安全措施的安全顺性检查，日复一日使用中IT安全的监督和复查，和与安全相关的事故报告的结果。在公司IT安全方针描述这个组织处理这些安全问题的所有方法的过程中，任何在这些活动中查明的严重的威胁和脆弱性都需要声明。详尽的行动被描述在各种IT系统安全方针中，或者在其他支持文件中，例如，安全操作程序。在开发公司IT安全方针时，以下职能部门的代表应该参加：·审计·财务·信息系统（技术人员和用户）·公共事业/基本设施（也就是负责建筑，住宿，供电和空调的人员）·职员·安全·高级商业管理根据安全目标和一个组织为实现这些目标而采取的策略，适当详细的公司IT安全方针被选择。公司IT安全方针至少要描述：·它的范围和目的。·考虑到法律、规则责任和商业目标的安全目标。·IT安全需要，按照信息的保密性，完整性，可行性，可负责任性，真实性和可靠性。·覆盖组织和个人责任和权威的信息安全管理。·组织所采取的风险管理方法。·安全宽度水平和管理人员所寻找的剩余风险。·访问控制的一般准则（对建筑，房间，系统，信息的逻辑访问控制和物理访问控制）。·组织内的安全意识和培训方法。·一般员工安全问题。·把方针传达到所有有关人员的方法。·方针被复查所处的环境。·控制方针变化的方法。在需要更详尽的公司IT安全方针的地方，以下事件应被考虑：·组织范围内的安全模型和程序。·标准的使用。·安全措施实现步骤。·后续活动，如·安全顺性检查。·安全措施的监督。·与安全有关的事故的处理。·对IT系统的使用所做的监督。·雇用外来安全顾问的环境。附录A给出了公司安全管理方针实例内容列表。正如在这个条款中较早的讨论一样，以前的风险分析，管理复查，安全顺性检查和安全事故的结果可能会影响公司的IT安全方针。转而，以前定义的策略和方针需要复查和改善。为了保证与安全有关的方法能获得充分支持，公司IT安全方针应被高层管理部门批准。基于公司的IT安全方针，应该制定一个对所有管理人员和员工有约束力的指令。这可能需要每个员工在文件上签名，这个签名承认他/她在组织内的安全责任。而且，应该开发和实现一个安全意识和培训的程序来传达这些方面。应指派一个人来负责公司的IT安全方针，并保证这个方针反映了公司的需求和实际状况。这个人通常是公司的IT安全官，他在其他事情中应负责后续活动。这包括安全顺性检查回顾，事故和安全弱点的处理，以及根据这些活动的结果可能需要的对公司IT安全方针的任何变化。8公司风险分析策略选择注意：为了保证ISO/IED TR 13335这部分的完整一致，并能不依赖ISO/IEC TR 133352而阅读，条款处理同ISO/IEC TR 133352中的条款10一样的问题。在开始任何风险分析活动前，一个组织应该为这个分析在适当的位置有一个策略，并且应该在公司IT安全方针中文档化它的重要部分（方法，技术，等等）。对这个组织，风险分析方法的选择方法和原则应被组织承认。风险分析策略应保证选择的方法适合环境，并且把安全努力集中到真正需要的地方。下面给出的选择描述了四种不同的分析方法。各种选择间的基本区别是风险分析的深度。因为对所有的IT系统做详尽风险分析花销太大，并且只对严重风险给予外部注意没有效果，所以需要在各选择间进行平衡。除了什么都不做和接受会暴露出一些未知重要性和严重性的风险可能性之外，一个公司风险分析策略有四种基本选择：·对所有的系统使用同样的基准方法，不考虑系统面临的风险，和接受并不总是合适的安全标准。·使用非正式方法进行风险分析并且把注意力集中到那些被察觉到暴露于高风险的IT系统。·对所有IT系统使用正式方法进行详尽风险分析。·展开初始的高水平风险分析来鉴定那些暴露到高风险和对商业有决定性作用的IT系统，继而对这些系统进行详尽风险分析，并对其他所有系统采用基准安全。这些分析安全风险的不同情况在下面被讨论，然后做出推荐，作为首选方法。如果一个组织决定在安全方面什么都不做，或者延迟安全措施的实现，管理部门应该清楚这个决定可能造成的后果。虽然这不需要时间，金钱，员工和其他资源，但是有很多缺点。除非一个组织确信他的IT系统不是重要的，否则它可能把自己陷入严重的后果中。一个组织可能会不顺从法律和规则，如果它造成安全的破坏，它的名声可能遭受损失，并说明没有采取预防行动。如果一个组织很少关注IT安全，或没有任何商业危急系统，那么这可能是个可实行的策略。然而，这个组织就被置于不知道形势究竟是多好或多坏的情况下，对大多数组织来说这不像是个好的解决方法。8.1基准方法就第一个选择而论，一个组织可以通过选择标准标准安全措施而让基准安全适用所有IT系统。在基准文件和操作规程中建议了各种标准安全措施。我们也可以在9.2中找到对这种方法更详尽的解释。这种方法有一些优点，如：·对每个安全措施的实现的风险分析和管理都只需要最小数量的资源，并且在选择安全措施时花费更少的时间和努力。·基准安全措施可提供有成效比的解决方法，如果组织的大量系统都在普通环境下操作和如果安全需要类似，很多系统都可以不费很多努力地采用基准方法。这种选择的缺点是：·如果基准水平设置的太高，在一些IT系统中可能会有极端的安全水平。·如果这个水平设置的太低，在一些IT系统中会缺少安全，导致更高水平的暴露。·在管理与安全相关的变化时，可能会有困难。例如，如果一个系统升级了，就很难评估初始的基准安全措施是否足够。如果一个组织的IT系统只有低水平的安全需求，那么这可能是最具费用效率比的策略。若是这样，应选择基准来反映大多数IT系统需要的保护程度。多数组织会总是需要面对一些最低标准来保护敏感数据和顺从法律和规则，例如，数据保护法。然而，当一个组织的各系统在商业敏感度，大小和复杂性不同时，把一个普通的标准用到所有系统既不合逻辑，也没有成效比。8.2非正式方法这个选择是用来做非正式的实际风险分析的，非正式方法不是基于结构化方法，而是利用个人的知识和经验。这种选择的优点是：·一般不需要大量的资源或时间。进行这种非正式分析不需要学习额外的技巧，而且要比详尽的风险分析完成的迅速。然而，有一些缺点：·没有几种正式的方法或全面的检查表，丢失重要数据的可能性增加。·要证明针对这种方法评估出的风险的安全措施的执行情况很困难。·以前一些方法己被脆弱性驱动，也就是，安全措施基于己被鉴定的脆弱性实现，而没有考虑是否有会利用这些脆弱性的威胁，即，是不是真正需要安全措施。·会加入一定程度的主观性；复查者特有的偏见会影响结果。·如果进行非正式风险分析的人离开组织，会出现问题。基于以上的缺点，这个选择对很多组织的风险分析并不是一个有效的方法。8.3详尽风险分析第三种选择是对组织内的所有IT系统做详尽风险分析复查。详尽风险分析包括资产的深度鉴定和估价，对这些资产的威胁评估和脆弱性评估。这些活动的结果然后被用于评估风险和鉴定己被证明是合理的安全措施。9.3中详细描述了这种方法。这种方法的优点是：·有希望对所有的系统鉴定出合适的安全措施。·详尽分析的结果可用于安全变化的管理。这种方法的缺点是：·为了获得结果，它需要相当大数量的时间和努力和专门知识。有可能起决定性作用的系统安全需求被提出的太晚，因为所有IT系统都会被同样详细的考虑，并且完成这个分析需要大量的时间。因此，对所有的IT系统都使用详尽风险分析是不明智的。如果选择了这种方法，就有一些可能的实现：·使用标准方法，来满足在这个TR中反映的标准。·用适合这个组织的不同的方式来使用这个标准方法；使用风险模型技术在（9.3中描述）可能会对一些组织有好处。8.4联合方法第四种选择是先对所有的IT系统做最初的高水平风险分析，每种情况下都集中于IT系统的商业价值和它所暴露的严重威胁。对被证明对组织的商业很重要和/或暴露于高风险中的IT系统，应该优先进行详尽风险分析。对所有的其他系统，应选择基准方法。这种从某种意义上来说是8.1和8.3所描述的选择中最好部分的结合的选择，在使鉴定安全措施时花费的时间和努力最小和仍然保证高风险系统被适当地保护之间提供了一种平衡。这种方法其他的优点是：·最初的快速而简单的方法的合并有希望被安全分析程序接受。·快速建立组织的安全程序的策略图成为可能，即它会担任一个好的计划帮助。·资源和钱可以用到最有益的地方，最需要保护的系统会被先提出，并且后续的行动会更成功。唯一潜在的缺点是：·因为最初的风险分析处于高水平，并且潜在地不够精确，一些系统可能不会被鉴定为需要详尽风险分析。然而，这些系统还是被基准安全覆盖。而且这些系统在任何需要检查是否需要不止一个方法的时候能被再访问。高水平风险分析方法的采用，结合基准方法和合适地方的详尽风险分析，给大多数组织提供了最有效的实施之路。条款9推荐了这种方法，并且会详尽地分析它。9联合方法这部分提供了实现上面推荐的联合风险分析策略的指导方针。9.1高水平风险分析首先有必要进行最初高水平风险分析来确认哪种方法（基准或详尽风险分析）对每个IT系统合适。这种高水平风险分析从组织的商业角度来考虑IT系统和处理的信息和风险的商业价值。关于哪种方法适合哪个IT系统的决定，可以从以下考虑中获得：·使用IT系统要实现的商业目标。·组织的商业依赖IT系统的程度，也就是组织认为对它的生存和有效的商业运作很必要的功能是不是依赖这个系统，或者依赖于这个系统所处理信息的保密性，完整性，可行性，可负责任性，真实性和可靠性。·关于开发，维护或替换这个IT系统的投资水平。·组织IT系统资产直接分配。·组织直接为其分配价值的IT系统的资产。当这些东西被评估后，做决定一般很简单，如果一个系统的目标对组织的商业运作重要，如果置换费用高，或者如果资产的价值处于高风险，那么这个系统就需要一个详尽风险分析。这些情况中的任何一个都足以证明进行详尽风险分析是合理的。一个普遍适用的规则是：如果IT系统安全的缺乏能导致对一个组织，它的商业过程或它的资产产生重大危害或破坏，那么一个详尽风险分析（9.3）对鉴定潜在风险是必不可少的。其他所有情况，应用基准方法（9.2）可提供适当的保护。9.2基准方法基准保护的目标是建立一套最低级别的安全措施来保护一个组织的所有或一些IT系统。使用这种方法，有可能在组织范围内采用基准保护，并且像上面反映的那样，附加地使用详尽风险分析复查来保护处于高风险的IT系统，或者对商业至关重要的系统。基准方法的使用减少了组织在风险分析复查（8.1）的执行中所需的投资。合适的基准保护可以通过使用安全措施目录来获得，这个目录建议了一组保护IT系统抵抗最常见威胁的安全措施。可以调整基准安全的水平来适应组织的需要。不必对所有威胁，脆弱性和风险进行详尽评估。应用基准保护所需做的就是选择安全措施目录中与你考虑的IT系统有关的那些部分。在确认安全措施已经在适当的地方后，要与基准目录中列出的那些安全措施作一个比较。那些还没有在适当位置并且适用的，应该被实行。基准目录会详细说明要用的安全措施，或者会建议一组安全需求来匹配任何尚在考虑对系统是否合适的安全措施。两种方法都有优点。在ISO/IEC TR 133354的附录中可以找到两种类型的目录。基准方法的一个目标就是两种方法都可获得的贯穿组织的安全措施的一致性。（缺11、12页）9.3.2资产鉴定资产是一个总的系统的部件或部分，一个组织直接为此系统分配价值并且因而需要对它进行保护。对资产的鉴定，我们要记住IT系统不光是由硬件和软件组成的。例如，资产类型可以是以下任何一种：·信息/数据（例如，包含支付细节的文件，产品信息）。·硬件（例如计算机，打印机）。·软件，包括应用软件（例如文字处理程序，为特定目的开发的程序）。·通信设备（例如电话，铜电缆，光纤）。·固件（例如软盘，只读存储器光盘，可编程只读存储器）。·文件（如合同）。·基金（例如自动播音机器人）。·批量制造的货物。·服务（例如信息服务，计算资源）。·服务中的信心和信任（如支付服务）。·环境设备。·员工。·组织形象复查界限内建立的（见9.3.1）所有资产都要被鉴定。相反地，任何要被一个复查界限排除的资产，不管什么原因，都要被分到另一个复查中以保证他们没有被忘记或忽视。9.3.3资产估价和资产间依赖关系的建立通过列出受复查的IT系统的所有资产来履行资产鉴定的目的后，这些资产应被分配价值。这些价值代表了对一个组织的事务来说资产的重要性。这可以按照安全事务来表示，例如由信息的泄露，修改，不可行性和/或破坏和其他IT系统资产而造成的负面的商业影响。因而基于组织的商业需要的资产的鉴定和估价是风险决定中的主要因素。资产的所有者和使用者应提供资产估价的输入。开展风险分析的人员会列出资产，他们应该从那些参与商业计划，财务，信息系统和其他相关活动的人中寻找帮助来为这些资产的每一个鉴定价值。被分配的价值应与获得和维护这些资产的费用有关，还应与由于保密性，完整性，可行性，可核查性，真实性和可靠性的丧失而造成的潜在的负面商业影响有关。每个被鉴定的资产都应对组织有价值。然而我们没有一个直接或简单的方法对所有的资产都建立经济上的价值。也有必要对组织用非经济的术语，例如定性的方法，来建立价值或重要程度。否则，确定保护水平和组织为保护资产所投入的资源是困难的，这样一个估价尺度的例子可以是低，中间和高的差别，或者，更具体一点：可忽略的低中间高很高在附录B中，通过考虑可能的损害给出了用于分配价值给资产的更详细的可能的尺度。不论使用哪种尺度，在这个估价中要考虑的事件可以是以下情况所导致的可能的损害：·违反法律和/或规则。·商业运行的损失。·信誉损失/名声上的负面影响。（缺第14页）威胁评估的输入应该从以下获得：资产的所有者和使用者，员工部门的全体人员，设备规划，IT专家和负责组织保护的人。其他组织如法人和国家政府权威可以提供帮助，例如通过提供威胁统计资料。一个通常可能的威胁目录对实行威胁评估是有帮助的。附录C中给出了个例子。然而参考其它威胁目录（对你的组织或事务可能会具体）是值得的，因为没有目录是无遗漏的。一些最普通的威胁的显明是：·错误和省略。·欺诈和偷窃。·员工蓄意破坏。·物理和基础设施支持的损失。·恶意剽窃，例如通过伪装。·恶意代码。·工业间谍活动。在使用威胁目录或早期的威胁分析的结果时，应该意识到威胁是在不断变化的，特别是当事务环境或IT变化时。例如90年代的病毒比80年代的复杂的多。此外还要注意到一个很有趣的现象，那就是安全措施的实现，如病毒检查软件，总是象导致了能抵抗现有安全措施的新病毒的发展。在确认了威胁源（谁和什么导致了威胁）和威胁目标（系统的什么元素会受威胁的影响）后，有必要评估威胁的可能性。这应该考虑到：·威胁出现的频率（根据经验，统计资料等等，多长时间会出现一次），如果统计资料等等可以运用的话。·动机，察觉到的和必要的能力，可能的攻击者可利用的资源，和可能的攻击者对IT系统资产的吸引力和脆弱性的察觉，就预先准备的威胁源而论。·地理性因素，像靠近化学或石油工厂，极端天气条件的可能性和能影响人工错误和设备故障的因素，就意外的威胁源而论。依赖于对精度的需要，可能有必要把资产划分到它们的部件中，并且把威胁联系到部件中。例如，一个物理资产可能刚开始会被看作中央数据服务器，但当这些服务器被确认处于不同的地理位置时，它会被分为中央数据服务器1和中央数据服务器2，因为一些威胁会不一样，有些处于不同水平。相似地，一个软件资产刚开始可能会被看作是应用软件，但是后来分割成为两个或更多的应用软件的例子。一个关于数据资产的例子，可以是在开始时它被决定为犯罪记录，但是后来分成犯罪记录文本和犯罪记录图像。威胁评估完成时，会有一个关于被确认的威胁，它们将影响的资产或资产组，和威胁在某种尺度上，比如，高，中，或低，出现的可能性的度量的列表。9.3.5脆弱性评估评估包括确认物理环境，组织，程序，员工，管理部门，决策部门，硬件，软件或通信设备中的弱点，这些弱点会被威胁源利用，而导致对资产和他们所支持的事务的危害。脆弱性的存在本质上并不会导致危害，一定要有利用它的威胁出现。没有相关威胁的脆弱性不需要执行保护，但是由于变化需要被承认和监督。应该注意，一个未被正确实现或有故障的安全措施，或未被正确使用的安全措施，自身就可能是一个脆弱性。在购买或制造资产时，脆弱性可能会与在某种程度上使用，或者为某种目的使用的资产特性或者性质有关，不同于计划中的使用的资产。例如，一个EEPROM（电可擦除可编程只读存储器）的特性之一就是上面存储的信息可以被擦除和替换。这是一个EEPROM的设计标准之一。然而，这个特性也意味着对存储在EEPROM上的信息的未被授权的破坏是可能的。这会成为一个脆弱性。这个评估确认了会被威胁利用的脆弱性，并评估了他们弱点的可能水平，也就是被利用的容易度。例如，一些资产会被轻松地去除，轻松地隐藏或运送所有这些特性都会与脆弱性有关。脆弱性评估的输入应该从资产的所有者和使用者，设备专家和硬件和软件方面的专家处获得。脆弱性的例子有：·未被保护的连接（例如因特网）。·未被训练的用户。·口令的误选和使用。·不适当的入口控制（逻辑的和/或物理的）。·没有信息或软件的备份。·位于易遭受洪水的地方。在附录D中可以找到关于脆弱性的更多的例子。评估脆弱性有多严重，换句话说它们会多容易地被利用，是很重要的。关于会在特定情况下利用它的每个威胁，脆弱性都会被评估。例如，一个系统有对冒用用户身份和滥用资源的威胁的脆弱性。因为缺少用户确认，冒用用户身份的脆弱性会很高。另一方面，滥用资源的脆弱性会低，因为即使缺少用户确认。资源被滥用的方式是有限的。这一步的结果应该是脆弱性和利用的容易度的评估的目录，例如有一个尺度：高，中和低。9.3.6存在的/计划中的安全措施的鉴定根据风险分析复查，被确认的安全措施对任何存在的和计划的安全措施都是补充。这种存在的和计划的安全措施作为这个过程的一部分被鉴定来避免不必要的工作和费用是很重要的，例如在成倍的安全措施中。也可能存在的和计划的安全措施被鉴定为不合适。若是这样，应该检查是否这个安全措施应该被去掉，用另一个更合适的安全措施替换，或者是否应该呆在原地（例如，因为费用的原因）。另外，应该做一个检查来决定选择，针对风险分析复查的安全措施是否与存在的和计划的安全措施相容，也就是，选择的安全措施和存在的安全措施不能相互妨碍。在鉴定存在的安全措施时，应做一个检查来确定这个安全措施在正确地工作。依赖于正确地工作，但在商业过程中不起作用的安全措施是一个可能的脆弱性的来源。这一步的结果是所有存在的和计划的安全措施的目录，和他们的实现及使用状况。9.3.7风险评估这一步的目的是确认和评估IT系统和它的资产被暴露的风险，来确认，选择和调整安全措施。风险是处于危险中的资产价值的作用，导致潜在负面商业影响的威胁出现的可能性，脆弱性，被己确认的威胁利用的轻松度，和任何存在的或计划中的可以降低风险的安全措施。有不同的方法来联系这些因素；例如，分配资产的价值，脆弱性和威胁被联合来获取测量风险的价值。关于不同类型的风险分析方法的详尽考虑基于资产被评估的价值，脆弱性和威胁，在附录E中可以找到这种方法。不管采用什么方式去评估风险量，这一步的结果应该针对考虑的IT系统的泄露影响，修改，不可行性和破坏的每种影响，建立已测量风险的目录，更进一步，风险测量帮助在选择安全措施时确认哪些风险要首先被处理。使用的方法应该可重复和可追溯。像以前反映的，各种自动软件工具可以被用来支持风险分析过程的全部或部分。如果一个组织决定使用工具，应该小心，使用的方法应与组织的IT安全策略和方针一致。而且，应该做出努力来获得精确输入，因为一个工具只能工作的像它的输入一样精确。9.4安全措施的选择应确认和选择合适的和被证明是正当的安全措施，来把被评估的风险降到可接受的水平。存在的和计划中的安全措施，IT安全建筑和各种类型的限制应被考虑来允许适当的选择（见9.3.6、9.4.2和9.4.3）。关于安全措施选择的额外的建议，可以在ISO/IEC TR 133354中找到。9.4.1安全措施的鉴定以前步骤中决定的风险测量方法在鉴定需要适当保护的所有安全措施时应做为基础使用。为了选择有效地抵抗评估的风险的安全措施，应考虑风险分析的结果。对关联威胁的脆弱性，应显示出哪里需要额外的保护，应该采取什么样的形式。这里可以根据所考虑的安全措施的费用来决定另外一种选择。安全措施适用的地方包括：·物理环境。·员工。·管理。·硬件/软件。·通信存在的和计划的安全措施应该按照费用对比，包括维护，而被再检查，如果它们不足够有效，要有除去（或不实现）或改善它们的意识。这里要注意的是，除去一个不合适的安全措施有时比把它放在适当的地方和或许增加另一安全措施还要昂贵。同样有可能的是，一个安全措施在现在复查范围之外给资产提供保护。对安全措施的鉴定来说，考虑要保护的脆弱性和拥有可能会利用这些脆弱性的关联的威胁是有用的。一般来说，有一些可减少风险的可能性：·避免风险。·转移风险。·减少威胁。·减少脆弱性。·减少可能的影响。·查出不希望的事件，对之作出反应，并从中恢复。这些可能性的哪一种（或它们的联合）最合适于现有环境。安全措施目录也可能有帮助。然而在以一个目录中选择安全措施时，使之适应组织的特定需要也很重要。安全措施选择的另外一个重要方面是费用因素。推荐那些实现和维护起来比它们设计的要保护的资产的价值还昂贵的安全措施是不合适的。推荐比组织分配给安全的